Bankový trójsky kôň GoldPickaxe
Sofistikovaný aktér hrozieb známy ako GoldFactory, ovládajúci čínštinu, bol identifikovaný ako tvorca pokročilých bankových trójskych koní. Jedným z ich najnovších výtvorov je nezdokumentovaný malvér iOS s názvom GoldPickaxe, ktorý je schopný zbierať doklady totožnosti a údaje o rozpoznávaní tváre a zachytávať SMS.
Výskumníci overili, že rodina GoldPickaxe sa zameriava na platformy iOS aj Android. Skupina GoldFactory zaoberajúca sa počítačovou kriminalitou, o ktorej sa predpokladá, že je dobre organizovaná a hovorí po čínsky, je úzko prepojená so spoločnosťou Gigabud.
GoldFactory, ktorá funguje minimálne od polovice roku 2023, je zodpovedná za vývoj bankového malvéru GoldDigger založeného na systéme Android spolu s jeho vylepšeným variantom GoldDiggerPlus. Okrem toho vytvorili GoldKefu, vložený trójsky kôň v rámci GoldDiggerPlus.
Obsah
Útočníci využívajú rôzne phishingové techniky na nasadenie GoldPickaxe
Boli identifikované hrozivé kampane sociálneho inžinierstva šíriace malvér so zameraním na ázijsko-pacifický región, najmä na Thajsko a Vietnam. Útočníci sa maskujú za miestne banky a vládne subjekty.
Pri týchto cielených útokoch jednotlivci dostávajú klamlivé smishingové a phishingové správy, ktoré ich vyzývajú, aby presunuli konverzáciu do aplikácií na odosielanie okamžitých správ, ako je napríklad LINE. Následne útočníci posielajú podvodné URL, čo vedie k inštalácii GoldPickaxe na zariadenia obetí.
Niektoré nebezpečné aplikácie navrhnuté pre Android sú hosťované na falošných webových stránkach, ktoré napodobňujú stránky Obchodu Google Play alebo falošné podnikové stránky, aby sa proces inštalácie úspešne vykonal.
Nová taktika kyberzločincov z GoldFactory
Spôsob distribúcie GoldPickaxe pre iOS sa líši a využíva jedinečný prístup. Využíva platformu Apple TestFlight a využíva nastražené adresy URL. Tieto adresy URL nabádajú používateľov, aby si stiahli profil správy mobilných zariadení (MDM), čím poskytujú úplnú kontrolu nad zariadeniami iOS a uľahčujú inštaláciu nečestnej aplikácie. Obe tieto distribučné taktiky odhalili Thajský bankový sektor CERT (TB-CERT) a Úrad pre vyšetrovanie počítačovej kriminality (CCIB) v novembri 2023.
Sofistikovanosť GoldPickaxe ďalej demonštruje jeho schopnosť obchádzať bezpečnostné opatrenia uložené v Thajsku. Tieto opatrenia nariaďujú používateľom potvrdzovať významnejšie transakcie pomocou rozpoznávania tváre, aby sa zabránilo podvodom. GoldPickaxe dômyselne vyzýva obete, aby nahrali video ako potvrdzovaciu metódu v rámci klamlivej aplikácie. Zaznamenané video slúži ako surovina na vytváranie hlbokých falošných videí prostredníctvom služieb umelej inteligencie na výmenu tvárí.
Varianty malvéru pre Android aj iOS majú navyše schopnosť zhromažďovať doklady totožnosti a fotografie obete, zachytávať prichádzajúce SMS správy a smerovať prevádzku cez napadnuté zariadenie. Existuje podozrenie, že aktéri GoldFactory používajú svoje vlastné zariadenia na prihlasovanie sa do bankových aplikácií a na vykonávanie neoprávnených prevodov finančných prostriedkov.
Rozdiely medzi verziami iOS a Android GoldPickaxe
Verzia GoldPickaxe pre iOS vykazuje menej funkcií v porovnaní s jej náprotivkom pre Android. Tento nesúlad sa pripisuje uzavretosti operačného systému iOS a jeho pomerne prísnym protokolom povolení.
Variant Androidu, ktorý je považovaný za evolučného nástupcu GoldDiggerPlus, sa maskuje ako viac ako 20 rôznych aplikácií spojených s thajskou vládou, finančným sektorom a energetickými spoločnosťami. Jeho primárnym cieľom je ukradnúť prihlasovacie údaje z týchto služieb. Presné zámery aktérov hrozby s týmito zhromaždenými informáciami však zostávajú nejasné.
Ďalšou pozoruhodnou charakteristikou malvéru je jeho využívanie služieb dostupnosti systému Android na zaznamenávanie stlačených klávesov a zachytávanie obsahu na obrazovke.
